Akt prawny
obowiązujący
Wersja aktualna od 2022-03-21
Wersja aktualna od 2022-03-21
obowiązujący
ZARZĄDZENIE
MINISTRA EDUKACJI I NAUKI1)
z dnia 21 marca 2022 r.
w sprawie powierzenia Ośrodkowi Rozwoju Polskiej Edukacji za Granicą przetwarzania danych osobowych, których administratorem jest Minister Edukacji i Nauki, w związku z organizacją kursów dla repatriantów w roku 2022
Na podstawie art. 34 ust. 1 i art. 34a ust. 1 ustawy z dnia 8 sierpnia 1996 r. o Radzie Ministrów (Dz. U. z 2021 r. poz. 178, 1192, 1535 i 2105) oraz art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 04.03.2021, str. 35) zarządza się, co następuje:
§ 1. 1. Minister Edukacji i Nauki, zwany dalej "Ministrem", powierza Ośrodkowi Rozwoju Polskiej Edukacji za Granicą, zwanemu dalej "ORPEG", przetwarzanie danych osobowych w celu i w zakresie niezbędnym do organizacji kursów języka polskiego i adaptacji w społeczeństwie polskim dla repatriantów w roku 2022.
2. Dane osobowe repatriantów przybyłych do Rzeczypospolitej Polskiej w 2021 r. i w 2022 r. obejmują: imię i nazwisko, datę urodzenia, adres zamieszkania, kraj pochodzenia, numer telefonu oraz adres poczty elektronicznej.
3. Przetwarzanie danych osobowych, o których mowa w ust. 2, powierza się do czasu zakończenia realizacji zadania, o którym mowa w ust. 1.
§ 2. Na powierzonych danych osobowych ORPEG wykonuje następujące operacje przetwarzania: przechowywanie dokumentów w postaci papierowej, przechowywanie na infrastrukturze serwerowej, zabezpieczanie, kopiowanie, w tym tworzenie kopii zapasowych, odzyskiwanie, odczytywanie, opracowywanie, formatowanie, importowanie do systemów teleinformatycznych, a także przekazywanie, udostępnianie, usuwanie, niszczenie lub inne operacje przetwarzania, zgodnie z poleceniem Ministra.
§ 3. ORPEG, przetwarzając powierzone dane osobowe:
1) stosuje środki zabezpieczenia określone w art. 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej "rozporządzeniem 2016/679", przy czym wdrożone środki zabezpieczenia muszą być adekwatne do zidentyfikowanych ryzyk dla zakresu powierzonego przetwarzania danych osobowych;
2) udziela pomocy administratorowi w zakresie:
a) realizacji obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III rozporządzenia 2016/679,
b) zapewnienia realizacji obowiązków wynikających z art. 32-36 rozporządzenia 2016/679;
3) niezwłocznie - nie później niż w ciągu 24 godzin od jego wystąpienia - zgłasza administratorowi każde naruszenie ochrony danych osobowych lub jego podejrzenie, którego będzie uczestnikiem, lub o którym poweźmie informację;
4) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia 2016/679;
5) niezwłocznie, na wniosek administratora, udziela wszelkich informacji lub okazuje wszelkie niezbędne dokumenty związane ze środkami zabezpieczenia, o których mowa w pkt 1, z systemami teleinformatycznymi, w których są przetwarzane powierzone dane osobowe, oraz z osobami upoważnionymi do ich przetwarzania;
6) umożliwia administratorowi, na każde żądanie, przeprowadzenie kontroli, audytu lub inspekcji w zakresie zapewnienia właściwej ochrony danych osobowych oraz aktywnie w nich uczestniczy;
7) niezwłocznie informuje administratora, jeżeli zdaniem ORPEG wydane mu polecenie stanowi naruszenie rozporządzenia 2016/679 lub innych obowiązujących przepisów;
8) niezwłocznie informuje administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez ORPEG powierzonych mu danych osobowych, a także o wszelkich planowanych lub realizowanych w ORPEG kontrolach i audytach dotyczących tych danych osobowych.
§ 4. 1. ORPEG prowadzi ewidencję upoważnionych osób, które będą przetwarzać powierzone dane osobowe.
2. Na każde żądanie administratora ORPEG przedstawia ewidencję, o której mowa w ust. 1, zawierającą imiona i nazwiska upoważnionych osób, zakres rzeczowy upoważnienia oraz datę rozpoczęcia obowiązywania upoważnienia i jego zakończenia.
§ 5. 1. ORPEG zapoznaje osoby upoważnione, o których mowa w § 4 ust. 1, z przepisami rozporządzenia 2016/679 i innych powszechnie obowiązujących aktów prawnych o ochronie danych osobowych oraz informuje je o odpowiedzialności za nieprzestrzeganie tych przepisów.
2. Osoby upoważnione, o których mowa w § 4 ust. 1, są zobowiązane do przestrzegania przepisów rozporządzenia 2016/679 i innych powszechnie obowiązujących aktów prawnych o ochronie danych osobowych oraz do bezterminowego zachowania w tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczenia, a także do złożenia oświadczenia w tym przedmiocie.
3. ORPEG prowadzi ewidencję złożonych oświadczeń, o których mowa w ust. 2.
§ 6. 1. Minister wyraża zgodę na korzystanie przez ORPEG z usług innego podmiotu przetwarzającego.
2. Przed rozpoczęciem korzystania z usług innego podmiotu przetwarzającego ORPEG informuje o tym Ministra, który może wyrazić sprzeciw co do przedstawionego podmiotu przetwarzającego.
3. W przypadku korzystania z usług innego podmiotu przetwarzającego niezgodnie z ust. 2, ORPEG ponosi pełną odpowiedzialność za działania tego podmiotu.
4. Jeżeli podmiot, o którym mowa w ust. 1, nie wywiąże się ze spoczywających na nim obowiązków w zakresie ochrony danych osobowych, pełną odpowiedzialność wobec Ministra za wypełnienie obowiązków tego podmiotu ponosi ORPEG.
§ 7. 1. W przypadku, o którym mowa w § 6 ust. 1, ORPEG zapewnia, w szczególności stosując odpowiednie klauzule umowne w pisemnych umowach zawieranych z innym podmiotem przetwarzającym, że podmiot ten spełnia wymagania określone w art. 32 rozporządzenia 2016/679.
2. ORPEG nakłada na podmiot przetwarzający, z którego usług będzie korzystać, obowiązek niezwłocznego
- nie później niż w ciągu 24 godzin - zgłoszenia ORPEG stwierdzonego naruszenia ochrony danych osobowych lub jego podejrzenia, zgodnie z art. 33 ust. 2 rozporządzenia 2016/679.
3. ORPEG ma obowiązek niezwłocznego - nie później niż w ciągu 24 godzin od momentu otrzymania od podmiotu przetwarzającego zgłoszenia, o którym mowa w ust. 2 - przekazania zgłoszenia Ministrowi.
§ 8. ORPEG lub podmiot przetwarzający, z którego usług ORPEG będzie korzystać, nie mogą przekazywać powierzonych danych osobowych do państwa trzeciego lub organizacji międzynarodowej bez wyraźnego polecenia lub wyraźnej zgody Ministra.
§ 9. ORPEG, niezwłocznie po zakończeniu realizacji zadania, o którym mowa w § 1 ust. 1, usuwa powierzone dane osobowe oraz wszelkie ich istniejące kopie, chyba że przepisy prawa nakazują dalsze przechowywanie danych osobowych.
§ 10. Zarządzenie wchodzi w życie z dniem ogłoszenia.
Minister Edukacji i Nauki: P. Czarnek
1) Minister Edukacji i Nauki kieruje działem administracji rządowej - oświata i wychowanie, na podstawie § 1 ust. 2 pkt 1 rozporządzenia Prezesa Rady Ministrów z dnia 20 października 2020 r. w sprawie szczegółowego zakresu działania Ministra Edukacji i Nauki (Dz. U. z 2022 r. poz. 18).